Flux d'indicateurs de compromission
Flux public et lisible par machine des indicateurs qu'AEGIS fait remonter depuis le Protection Network. Retourné sous forme de Bundle STIX 2.1 afin de s'intégrer aux pipelines de threat-intel existants.
GET https://api.mnemom.ai/v1/trust/iocsAucune authentification requise. Limité en débit au niveau du gateway, plus une vérification best-effort dans le handler (1 req/min/IP). Pagination via ?after=<ISO-8601 timestamp> sur le champ next_after de la réponse précédente.
Contrat calm-at-GA
À la GA, le flux peut être vide. C'est le système qui dit la vérité : quand AEGIS n'a aucune campagne close et aucun indicateur actif, le flux expose un bundle STIX vide plutôt que du théâtre.
Exemples de consommation
curl -sS 'https://api.mnemom.ai/v1/trust/iocs' | jq '.objects[] | {id, type, indicator_types, pattern}'import requests
resp = requests.get("https://api.mnemom.ai/v1/trust/iocs")
bundle = resp.json()
for obj in bundle.get("objects", []):
if obj.get("type") == "indicator":
print(obj.get("id"), obj.get("pattern"))
# Pagination — pass next_after as ?after=
next_cursor = bundle.get("next_after")
Extensions d'indicateurs
Les indicateurs avec des patterns STIX canoniques (hachages sha256, domaines, URL) émettent ces patterns directement. Les classes d'indicateurs internes à Mnemom (substrate fingerprints, identifiants de techniques MITRE ATT&CK) portent leur valeur dans une property-extension Mnemom sur le SDO indicator STIX. L'extension porte aussi la classe Traffic Light Protocol, un marqueur de fixture synthétique et l'identifiant de l'advisory associée lorsqu'il est présent.
